吉通公司金桥网安全项目建议书(45页)

吉通公司金桥网全网安全项目建议书第一章安全体系的认识11安全威胁自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。由于企业网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，企业网络可能存在的安全威胁来自以下方面1操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及WINDOWS桌面PC。2防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。3来自内部网用户的安全威胁。4缺乏有效的手段监视、评估网络系统的安全性。5采用的TCP/IP协议族软件，本身缺乏安全性。6未能对来自INTERNET的电子邮件夹带的病毒及WEB浏览可能存在的JAVA/ACTIVEX控件进行有效控制。7应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。12平台安全的需求121网络的基本安全需求满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是建设企业网络系统安全的重要原则。网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是网络的基本安全需求。对于各科各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问题。122业务系统的安全需求与普通网络应用不同的是，业务系统是应用的核心。对于业务系统应该具有最高的网络安全措施。企业网络应保障1访问控调，确保业务系统不被非法访问。2数据安全，保证数据库软硬件系统的整体安全性和可靠性。3入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据。4来自网络内部其他系统的破坏，或误操作造成的安全隐患。123INTERNET服务平台的安全需求INTERNET服务平台分为两个部分提供网络用户对INTERNET的访问提供INTERNET对网内服务的访问。网络内客户对INTERNET的访问，有可能带来某些类型的网络安全隐患。如通过电子邮件、FTP引入病毒、危险的JAVA或ACTIVEX应用等。因此，需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。INTERNET对网内服务的访问，还会带来更加严重的网络安全隐患。如TELNET、TLOGIN等远程服务。因此，需要在网关处，设立严格的监控手段，确保合法用户登录到合法主机，执行合法应用程序。13平台安全与平台性能和功能的关系通常，系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务（断开，外界是不可能构成安全威胁的。但是，企业接入国际互连网络，提供网上业务和电子商务等服务，等于将一个内部封闭的网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生。构建平台安全系统，一方面由于要进行认证、加密、监听，分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题。选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用。14平台安全的管理因素平台安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理上的松懈及对安全威胁的认识。安全威胁主要利用以下途径1系统实现存在的漏洞。2系统安全体系的缺陷。3使用人员的安全意识薄弱。4管理制度的薄弱。良好的平台管理有助于增强系统的安全性1及时发现系统安全的漏洞。2审查系统安全体系。3加强对使用人员的安全知识教育。4建立完善的系统管理制度。15全方位的安全体系与其它安全体系（如保安系统）类似，应用系统的安全体系应包含1访问控制。通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。2检查安全漏洞。通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。3攻击监控。通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。4加密通讯。主动的加密通讯，可使攻击者不能了解、修改敏感信息。5认证。良好的认证体系可防止攻击者假冒合法用户。6备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。7多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。8隐藏内部信息，使攻击者不能了解系统内的基本情况。9设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情况服务。第二章用户网络现状分析金桥工程是我国“九五”信息化重点工程之一。金桥信息网是一个以数据通信为基础的计算机综合信息网，通过金桥工程的建设，建立跨行业、跨部门的公用计算机信息交换平台，实现信息通信和资源共享，面向社会提供网络服务和信息服务。经过几年的努力，金桥网已经建设了具有一定规模的、融合了各种数据通信技术的、卫星与地面通信线路互为备份的网络，骨干网络的带宽已达155M，国际出口达到了67M，网络节点超过50个大中城市；可以向各种用户提供卫星VSAT、帧中继FRAMERELAY、INTERNET接入、INTERNET信息服务、IP电话、IP/VPN、电子商务等服务。2000年是金桥网建设大发展的一年，骨干网带宽及国际出口带宽将进一步扩宽以满足用户的需要；网络节点将大规模增加以增加网络的覆盖；在已经建设的网管中心、维护中心的基础上，还将建设计费与结算中心、客服中心、认证中心、数据中心，使网络的规模、业务与服务的水平都上到一个新的台阶。随着用户数量的不断扩大，应用水平的不断提高，一个不容忽视的问题网络安全越来越受到人们的关注，对网络安全体系的建立和全面解决方案的需求迫在眉睫。于是，吉通通信有限责任公司作为金桥工程的业主提出招标，为金桥网提供一整套的安全解决方案。包括安全政策的制定、体系结构的设计、安全产品的选择和集成，以及长期的合作和技术支持服务。工程总体目标是在不影响金桥网当前业务的前提下，实现对金桥网的全面安全管理。1将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。2定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。3通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。4使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。一套完整的安全管理体系应能覆盖包括金桥网国际出口、国内网间互联、骨干节点、一级节点，以及即将建设的二级节点在内的所有节点设备、链路和业务服务系统等，并且根据金桥网的网络结构，管理模式，业务划分，确定安全等级，针对不同的安全等级，实施相应的安全策略。21金桥网安全总体需求根据金桥网的特点，全面的安全解决方案需要涉及到网络安全、系统安全、数据库系统安全、数据安全以及防病毒等多个方面。每个方面都需要结合相关的安全产品，相应的安全政策，实施包括预防、检测、反映在内的全过程。211安全政策包括安全管理制度的制定和安全策略的实施。根据管理原则，管理对象，卖方应协助买方修改、制定切实可行的安全管理制度或规范，同时结合安全策略的实施，建立完善的安全管理体系。212网络安全针对网络设备和链路的保护。由于金桥网网络结构的复杂性，不可能对全网做到集中式的安全管理，可采取分布式，针对各地分公司（节点）的不同网段（如网管网段、办公网段、用户接入网段）或根据提供的不同业务类别，实施不同级别的安全管理措施。213系统安全1针对主机系统的安全，主要以SOLARIS和NT为主；2针对业务系统的安全，包括网管系统、计费系统和网络应用服务器系统（例如DNS、MAIL、WWW、FTP、NEWS等）。214数据库系统安全目前金桥网上数据库以ORACLE、SQLSERVER为主，数据库的安全管理涉及到用户的权限管理，数据的访问控制，数据的安全与备份等。215数据安全管理对象主要是网络应用服务器中向用户提供信息服务的各类信息，以及计划建设的数据中心等。卖方应能够提出建设数据中心的安全解决方案建议。216防病毒构造全网统一的防病毒体系。主要面向MAIL、FTP服务器，以及办公网段的PC服务器和PC机等。第三章安全体系的实现技术基于以上的分析，企业网络系统涉及到各方面的网络安全问题，我们认为整个企业的安全体系必须集成多种安全技术实现。如虚拟网技术、防火墙技术，入侵监控技术、安全漏洞扫描技术、加密技术、认证和数字签名技术等。31虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。由以上运行机制带来的网络安全的好处是显而易见的1信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。2通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题1执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。2基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。3基于MAC的VLAN不能防止MAC欺骗攻击。311以太网的链路安全以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IPSWEEP,TEARDROP,SYNCFLOOD,IPSPOOFING攻击等。32防火墙枝术防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。321使用FIREWALL的益处保护脆弱的服务通过过滤不安全的服务，FIREWALL可以极大地提高网络安全和减少子网中主机的风险。例如，FIREWALL可以禁止NIS、NFS服务通过，FIREWALL同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问FIREWALL可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，FIREWALL允许外部访问特定的MAILSERVER和WEBSERVER。集中的安全管理FIREWALL对企业内部网实现集中的安全管理，在FIREWALL定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在FIREWALL可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过次认证即可访问内部网。增强的保密性使用FIREWALL可以阻止攻击者获取攻击网络系统的有用信息，如FINGER和DNS。记录和统计网络利用数据以及非法使用数据FIREWALL可以记录和统计通过FIREWALL的网络通讯，提供关于网络使用的统计数据，并且，FIREWALL可以提供统计数据，来判断可能的攻击和探测。策略执行FIREWALL提供了制定和执行网络安全策略的手段。未设置FIREWALL时，网络安全取决于每台主机的用户。322设置FIREWALL的要素网络策略影响FIREWALL系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述FIREWALL如何限制和过滤在高级策略中定义的服务。服务访问策略服务访问策略集中在INTERNET访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是允许通过增强认证的用户在必要的情况下从INTERNET访问某些内部主机和服务；允许内部用户访问指定的INTERNET主机和服务。FIREWALL设计策略FIREWALL设计策略基于特定的FIREWALL，定义完成服务访问策略的规则。通常有两种基本的设计策略1允许任何服务除非被明确禁止；2禁止任何服务除非被明确允许。通常采用第二种类型的设计策略。增强的认证许多在INTERNET上发生的入侵事件源于脆弱的传统用户/口令机制。多年来，用户被告知使用难于猜测和破译的口令，虽然如此，攻击者仍然在INTERNET监视伟输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡，认证令牌，生理特征指纹以及基于软件RSA等技术，来克服传统口令的弱点。虽然存在多种认证技术，它们均使用增强的认证机制产生难于被攻击者重用的口令和密钥。目前许多流行的增强认证机制使用一次有效的口令和密钥如SMARTCARD和认证令牌。323FIREWALL的基本分类包过滤IP包过滤源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口。包过滤路由器存在许多弱点包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性手工测试除外。一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。实际运行中，经常会发生规则例外，即要求允许通常情况下禁止的访问通过。但是，规则例外使包过滤规则过于复杂而难以管理。例如，定义规则禁止所有到达INBOUND的端口23连接TELNET，如果某些系统需要直接TELNET连接，此时必须为内部网的每个系统分别定义一条规则。某些包过滤路由器不支持TCP/UDP源端口过滤，可能使过滤规则集更加复杂，并在过滤模式中打开了安全漏洞。如SMTP连接源端口是随机产生的1023，此时如果允许双向的SMTP连接，在不支持源端口过滤的路由器上必须定义一条规则允许所有1023端口的双向连接。此时用户通过重新映射端口，可以绕过过滤路由器。对许多RPCREMOUTEPROCEDURECALL服务进行包过滤非常困难。由于RPC的LISTEN口是在主机启动后随机地分配的，要禁止RPC服务，通常需要禁止所有的UDP绝大多数RPC使用UDP，如此可能需要允许的DNS连接就会被禁止。应用网关为了解决包过滤路由器的弱点，FIREWALL要求使用软件应用来过滤和传送服务连接（如TELNET和FTP。这样的应用称为代理服务，运行代理服务的主机被称为应用网关。应用网关和包过滤器混合使用能提供比单独使用应用网关和包过洗器更高的安全性和更大的灵活性。应用网关的优点是比包过滤路由器更高的安全件。提供对协议的过滤，如可以禁止FTP连接的PUT命令。信息隐藏，应用网关为外部连接提供代理。健壮的认证和日志。节省费用，第三方的认证设备软件或硬件只需安装在应用网关上。简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝其余的包通过。应用网关的缺点在于新的服务需要安装新的代理服务器。有时需要对客户软件进行修改。可能会降低网络性能。应用网关可能被攻击。线路级网关线路级网关提供内部网和外部网连接的中继，但不提供额外的处理和过滤能力。STATEFUL防火墙该类防火墙综合了包过滤防火墙及应用网关的特性。能够提供比应用网关更多的连接特性，但是安全性比较应用网关差。324建设FIREWALL的原则分析安全和服务需求以下问题有助于分析安全和服务需求计划使用哪些INTERNET服务如HTTP，FTP，GOPHER，从何处使用INTERNET服务本地网，拨号，远程办公室。增加的需要，如加密或拔号接入支持。提供以上服务和访问的风险。提供网络安全控制的同时，对系统应用服务牺牲的代价。策略的灵活性INTERNET相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因INTERNET自身发展非常快，机构可能需要不断使用INTERNET提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改变风险。远程用户认证策略远程用户不能通过放置于FIREWALL后的未经认证的MODEM访问系统。PPP/SLIP连接必须通过FIREWALL认证。对远程用户进行认证方法培训。拨入/拨出策略拨入/拨出能力必须在设计FIREWALL时进行考虑和集成。外部拨入用户必须通过FIREWALL的认证。INFORMATIONSERVER策略公共信息服务器的安全必须集成到FIREWALL中。必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。为INFORMATIONSERVER定义折中的安全策略允许提供公共服务。对公共信息服务和商业信息如EMAIL讲行安全策略区分。FIREWALL系统的基本特征FIREWALL必须支持“禁止任何服务除非被明确允许”的设计策略。FIREWALL必须支持实际的安全政策，而非改变安全策略适应FIREWALL。FIREWALL必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。FIREWALL必须支持增强的认证机制。FIREWALL应该使用过滤技术以允许或柜绝对特定主机的访问。IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型，源和目的TCP/UDP口，以及到达和离开界面。FIREWALL应该为FTP、TELNET提供代理服务，以提供增强和集中的认证管理机制。如果提供其它的服务如NNTP，HTTP等也必须通过代理服务器。FIREWALL应该支持集中的SMTP处理，减少内部网和远程系统的直接连接。FIREWALL应该支持对公共INFORMATIONSERVER的访问，支持对公共INFORMATIONSERVER的保护，并且将INFORMATIONSERVER同内部网隔离。FIREWALL可支持对拨号接入的集中管理和过滤。FIREWALL应支持对交通、可疑活动的日志记录。如果FIREWALL需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞PATCH。FIREWALL的设计应该是可理解和管理的。FIREWALL依赖的操作系统应及时地升级以弥补安全漏洞。325选择防火墙的要点1安全性即是否通过了严格的入侵测试。2抗攻击能力对典型攻击的防御能力3性能是否能够提供足够的网络吞吐能力4自我完备能力自身的安全性，FAILCLOSE5可管理能力是否支持SNMP网管6VPN支持7认证和加密特性8服务的类型和原理9网络地址转换能力33入侵检测技术利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够1入侵者可寻找防火墙背后可能敞开的后门。2入侵者可能就在防火墙内。3由于性能的限制，防火焰通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短HACKER入侵的时间。入侵检测系统可分为两类基于主机基于网络基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如WEB服务器应用。基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如下图示图21入侵检测系统的基本模型上述模型由四个部分组成1PASSIVEPROTOCOLANALYZER网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。2PATTERNMATCHINGSIGNATUREANALYSIS根据协议分析器的结果匹配入侵特征，结果传送给COUNTERMEASURE部分。3COUNTERMEASURE执行规定的动作。4STORAGE保存分析结果及相关数据。基于主机的安全监控系统具备如下特点1精确，可以精确地判断入侵事件。2高级，可以判断应用层的入侵事件。3对入侵时间立即进行反应。4针对不回操作系统特点。5占用主机宝贵资源。基于网络的安全监控系统具备如下特点1能够监视经过本网段的任何活动。2实时网络监视。3监视粒度更细致。4精确度较差。ETHERNETIE,STORECONTENTSOFCONNECTIONDISKIE,CLOSECONNECTIONCOUNTERMEASURECBOXIE,DETECTIONOF“PHF”STRINGINSESSIONPATTERNMATCHINGSIGNATUREANALYSISSTORAGEDBOXIE,TCPSTREAMRECONSTRUCTIONPASSIVEPROTOCOLANALYSIS5防入侵欺骗的能力较差。6交换网络环境难于配置。基于主机及网络的入侵监控系统通常均可配置为分布式模式1在需要监视的服务器上安装监视模块AGENT，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。2在需要监视的网络路径上，放置监视模块SENSOR,分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。选择入侵监视系统的要点是1协议分析及检测能力。2解码效率速度。3自身安全的完备性。4精确度及完整度，防欺骗能力。5模式更新速度。34安全扫描技术网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于HACKER在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如PASSWORD文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围IP地址或路由器跳数。网络安全扫描的主要性能应该考虑以下方面1速度。在网络内进行安全扫描非常耗时。2网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。3能够发现的漏洞数量。4是否支持可定制的攻杰方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。5报告，扫描器应该能够给出清楚的安全漏洞报告。6更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。35认证和数宇签名技术认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证技术将应用到企业网络中的以下方面1路由器认证，路由器和交换机之间的认证。2操作系统认证。操作系统对用户的认证。3网管系统对网管设备之间的认证。4VPN网关设备之间的认证。5拨号访问服务器与客户间的认证。6应用服务器如WEBSERVER与客户的认证。7电子邮件通讯双方的认证。数字签名技术主要用于1基于PKI认证体系的认证过程。2基于PKI的电子邮件及交易通过WEB进行的交易的不可抵赖记录。认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。USERNAME/PASSWORD认证该种认证方式是最常用的一种认证方式，用于操作系统登录、TELNET、RLOGIN等，但由于此种认证方式过程不加密，即PASSWORD容易被监听和解密。使用摘要算法的认证RADIUS拨号认证协议、路由协议OSPF、SNMPSECURITYPROTOCOL等均使用共享的SECURITYKEY，加上摘要算法MD5进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的SECURITYKEY，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA1。基于PKI的认证使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。26节描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。36VPN技术361企业对VPN技术的需求企业总部和各分支机构之间采用CNFN网络进行连接，由于CNFN为中国金融系统的公用网络，因此，必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网VPN。因为VPN利用了公共网络，所以其最大的弱点在于缺乏足够的安全性。企业网络接入到CNFN，暴露出两个主要危险1来自CNFN的未经授权的对企业内部网的存取。2当企业通过CNFN进行通讯时，信息可能受到窃听和非法修改。完整的集成化的企业范围的VPN安全解决方案，提供在CNFN上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。企业网络的全面安全要求保证1保密通讯过程不被窃听。2通讯主体真实性确认网络上的计算机不被假冒。362数字签名数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统如RSA基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。并且，如果消息随数字签名一同发送，对消息的任何修改在验证数字签名时都将会被发现。通讯双方通过DIFFIEHELLMAN密钥系统安全地获取共享的保密密钥，并使用该密钥对消息加密。DIFFIEHELLMAN密钥由CA进行验证。类型技术用途基本会话密钥DES加密通讯加密密钥DEFFHELLMAN生成会话密钥认证密钥RSA验证加密密钥表1加密模式使用的密钥技术基于此种加密模式，需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。363IPSECIPSEC作为在IPV4及IPV6上的加密通讯框架，已为大多数厂商所支持，预计在1998年将确定为IETF标准，是VPN实现的INTERNET标准。IPSEC主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式，AUTHENTICATIONHEADERAH及ENCAPSUALTINGSECURITYPAYLOADESP。IPSEC使用ISAKMP/OAKLEY及SKIP进行密钥交换、管理及加密通讯协商SECURITYASSOCIATION。IPSEC包含两个部分1IPSECURITYPROTOCOLPROPER，定义IPSEC报文格式。2ISAKMP/OAKLEY，负责加密通讯协商。IPSEC提供了两种加密通讯手段IPSECTUNNEL整个IP封装在IPSEC报文。提供IPSECGATEWAY之间的通讯。IPSECTRANSPORT对IP包内的数据进行加密，使用原来的源地址和目的地址。IPSECTUNNEL不要求修改已配备好的设备和应用，网络黑客户不能看到实际的的通讯源地址和目的地址，并且能够提供专用网络通过INTERNET加密传输的通道，因此，绝大多数均使用该模式。ISAKMP/OAKLEY使用X509数字证书，因此，使VPN能够容易地扩大到企业级。易于管理。在为远程拨号服务的CLIENT端，也能够实现IPSEC的客户端，为拨号用户提供加密网络通讯。由于IPSEC即将成为INTERNET标准，因此不同厂家提供的防火墙VPN产品可以实现互通。37应用平台安全由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在INTERNET/INTRANET中主要的应用平台服务的安全问题及相关技术。371域名服务INTERNET域名服务为INTERNET/INTRANET应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。但是，域名服务通常为HACKER提供了入侵网络的有用信息，如服务器的IP、操作系统信息、推导出可能的网络结构等。同时，新发现的针对BINDNDS实现的安全漏洞也开始发现，而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议，利用可预测的查询ID可欺骗域名服务器给出错误的主机名IP对应关系。因此，在利用域名服务时，应该注意到以上的安全问题。主要的措施有1内部网和外部网使用不同的域名服务器，隐藏内部网络信息。2域名服务器及域名查找应用安装相应的安全补丁。3对付DENIALOFSERVICE攻击，应设计备份域名服务器。372病毒防护病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。我们将病毒的途径分为1通过FTP，电子邮件传播。2通过软盘、光盘、磁带传播。3通过WEB游览传播，主要是恶意的JAVA控件网站。4通过群件系统传播。病毒防护的主要技术如下1阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。2检查和清除病毒。使用防病毒软件检查和清除病毒。3病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。4在防火墙、代理服务器及PC上安装JAVA及ACTIVEX控制扫描软件，禁止未经许可的控件下载和安装。373WEBSERVER应用安全WEBSERVER是企业对外宣传、开展业务的重要基地。由于其重要性，成为HACKER攻击的首选目标之一。WEBSERVER经常成为INTERNET用户访问公司内部资源的通道之一，如WEBSERVER通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源。但WEB服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止WEB服务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心1WEB服务器置于防火墙保护之下。2在WEB服务器上安装实时安全监控软件。3在通往WEB服务器的网络路径上安装基于网络的实时入侵监控系统。4经常审查WEB服务器配置情况及运行日志。5运行新的应用前，先进行安全测试。如新的CGI应用。6认证过程采用加密通讯或使用X509证书模式。7小心设置WEB服务器的访问控制表。374电子邮件系统安全电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。加强电子邮件系统的安全性，通常有如下办法1设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站或利用防火墙的电子邮件中转功能。所有出入的电子邮件均通过该中转站中转。2同样为该服务器安装实施监控系统。3该邮件服务器作为专门的应用服务器，不运行任何其它业务切断与内部网的通讯。4升级到最新的安全版本。375操作系统安全市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要1检查系统设置敏感数据的存放方式，访问控制，口令选择/更新。2基于系统的安全监控系统。38应用系统安全应用系统建立在应用平台之上，应用系统可利用应用平台提供的安全服务，增强应用系统的安全。应用系统安全要求1通讯双方的主体确认。2通讯过程的保密、完整性。3交易过程的不可抵赖性。应用系统通常有两种应用模式CLIENT/SERVER及点到点通讯。INTERNET/INTRANET上流行的SSL/SMIME均使用X509及PKI完成认证和加密通讯。PKI认证和通讯原理证书实际上是通讯主体的身份标识，通讯双方通过证书互相认证，并利用证书中的信息完成电子签名和加密协商。X509证书由CCITTITU的X509建议目录认证框架定义，采用ASN1描述，传输过程中先做EDR编码，然后BASE64编码。X509证书中的内容有以下几项持有者的DN，如CNPERSON，OUNETWORK，OCCB，CCN。证书签发者的DN。版本号由0号开始，目前支持V3，该值为2序列号，该证书在证书库中的唯一序列号。该证书的有效起始日期，有效最后日期。持有者的PUBLICKEY。证书签发者的签名和签名算法。X509证书是基于RSA公开密钥体系的电子证书，由于RSAPKCS在加密通讯过程中只需传送公开密钥，而且如果没有PRIVATEKEY，很难从加密结果中恢复原文。这种不对称的加密算法由于可方便地交换公开密钥，解决了对称加密算法体系密钥的分发难题，因而在INTERNET/INTRANET领域得到广泛应用。X509证书用于数据通讯，主要有三个基本用途数字签名发送方使用自身的PRIVATEKEY对报文的MD5DIGEST加密。接收方使用发送方的PUBLICKEY还原此DIGEST，同时计算报文的MD5DIGEST，两者相同，则表示该报文在传输过程中保持完整，并且，确实是传送方所发。认证X509证书包含了证书持有者的信息，该信息由通讯双方均信任的第三方机构认可并作了签名，同时在交换证书时，双方均为自己的证书作了数字签名。双方在接疏到对方的X509证书后，首先验证证书的数字签名，验证收到的是否是发送方的证书，然后使用第三方机构CA的PUBLICKEY验证是否其证书的CA数字签名。如果这两步都正确，通讯双方即可建立信任关系。加密信任的通讯双方各自使用对方的PUBLICKEY加密通讯报文，接收方使用自己的PRIVATEKEY还原报文。通常，由于RSA加密算法的效率不高，RSA加密仅用于通讯双方协商加密算法及密钥，实际通讯时仍然使用对称加密。用户名/口令模式的工作流图31用户名/口令模式的工作流SUITESPOTSERVERUSERENTERSNAMEANDPASSWORDCLIENTSENDSNAMEANDPASSWORDACROSSNETWORKSERVERUSESPASSWORDTOAUTHENTICATEUSERSIDENTITYSERVERAUTHORIZESACCESSFORAUTHENTICATEDIDENTITY证书验证模式的工作流程图32证书验证模式的工作流程SSL是将以上数字签名、认证、加密等各种技术结合起来，在IP层上，TCP层下，提供独立于应用的加密层。SECUREEMAIL与SSL不同，它不是会话过程，只是简单地将发送的邮件内容用接收方的公开密钥加密，然后发送，当然可能会用自己的私有密钥作签名。认证体系由前述的认证过程，需要有第三方的证书许可机构为通讯双方提供许可，来完成完整的认证体系。同时，证书许可机构CA需要对证书服务进行管理，如接收请求、核实请求、发布、回收、更新等任务。由于应用角度不同，通常在INTERNET/INTRANET内，有4种类型的证书SIGN证书SIGN证书表明CA证明该证书持有者有颁发证书的权利。服务器证书服务器证书用于服务器与客户通讯时的认证和加密。个人证书个人证书用于SSL的服务器访问及SECUREMAIL。程序证书用于给JAVA程序或COBRA对象发放证书。CA体系可构成树型结构CACHAIN，认证时可选择继承对其上层CA的信任关系。DIRECTORYSERVERSUITESPOTSERVERUSERENTERSPRIVATEKEYPASSWORDCLIENTRETRIEVESPRIVATEKEYANDUSESITTOCREATE“EVIDENCE”DIGITALSIGNATURECLIENTSENDSCERTIFICATEANDEVIDENCEACROSSNETWORKSERVERUSESCERTIFICATEANDEVIDENCETOAUTHENTICATETHEUSERSIDENTITYSERVERCHECKSWHETHERCERTIFICATEISINLDAPENTRYFORUSERSERVERAUTHORIZESACCESSFORAUTHENTICATEDIDENTITYCLIENTCLIENTHELLOSERVERHELLOCERTIFICATECERTIFICATEREQUESTSERVERHELLODONECERTIFICATECLIENTKEYEXCHANGECERTIFICATEVERIFYFINISHEDFINISHEDAPPLICATIONDATASERVER图33CA链中的确认过程上图中表示了一个CERTIFICATE在CA链中的确认过程，实线表示验证过程中涉及的CA。UNTRUSTEDAUTHORITYTRUSTEDAUTHORITYROOTCAEUROPECAROOTCAMARKETINGCASALESCAENGINEERINGCAPROGRAMVERRIFINGTHECERTIFICATECACERTIFICATESIGNEDBYROOTCACERTIFICATEISSUEDBYENGINEERINGCACACERTIFICATESIGNEDBYUSACACACERTIFICATESIGNEDBYSELFUNTRUSTEDAUTHORITYUSACA第四章安全产品的解决方案安全技术和产品近几年在市场上大量涌现，并开始成熟起来。本章给出了采用的主要产品的特征，并分析了安全体系与网络系统及应用系统的集成。本建议书推荐采用美国网络联盟公司（NAI）提供的网络安全整体解决体系。NETWORKASSOCIATES,INC网络联盟公司是世界上十大独立软件厂商之一，也是全球最大的致力于提供网络信息安全和管理的专业厂商。美国网络联盟公司拥有35个以上的办事处，3000多名雇员，在全球六大洲运作，1998年的营业额达990亿美元。NAI的产品在世界范围得到广泛的应用和好评。其用户包括MICROSOFT、SGI、INTEL、CISCO、MOTOROLA、IBM、HITACHI和BULL等；企业界的SHELL、BASF、CHRYSLER、SWISSBANKCORPORATION、NATOINSBANK等；美国国防部（DOD）等。国内的用户包括政府、海关、石油、教育、部队、电信等行业。41安全体系采用的产品分析411防火墙产品GAUNTLETFIREWALLNETWORKASSOCIATES公司的网络安全产品涉及到网络安全的各个方面，从防火墙、防病毒、网络安全扫描到网络安全监测等各个方面提供了网络安全的全线产品。NETWORKASSOCIATES公司的GAUNTLET是使用另一种技术原理的防火墙产品。GAUNTLET使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力70MBPS，很好的解决了安全、性能及灵活性的协调。GAUNTLET作为基于应用层网关的防火墙,具有用户透明、集成管理、可控能力强、内容安全和高吞吐量等特点，很好地解决了安全、性能、灵活性等方面的需求的协调的特性，广泛应用于INTERNET、企业内部网和远程访问，是目前在网络安全领域影响较大的防火墙产品，多次被评为最安全的防火墙。以下是在第三方测试环境中，NAIGAUNTLET防火墙同其它防火墙的综合性能对比图GAUNTET防火墙有如下功能及特点1友好的管理界面基于JAVA或环境,可以在EB浏览器中,支持远程管理和配置,可从网络管理平台上监控和配置,如NTSERVER和HPOPENVIEW、GAUNTLET还支持通过服务器,企业内部网、INTERNET来存取和管理SNMP设备。2支持流行的多媒体实时服务如REALAUDIL/VIDEO,MICROSOFTNETSHOW,VDOLIVE3支持主要的防火墙防病毒软件用户可根据需求选择最好的防病毒解决方案,配置防火墙检查进入网络的文件,消息和WEB内容防止JAVA和ACTIVEX小程序攻击网络支持过滤,远程报告和实时报警,是一种极为安全可靠的防火墙。4支持大多数认证系统如SECURITYDYNANMICS、ASSURENETPATHWAYS、S/KEY。允许您选择最好的认证技术,把防火墙集成到企业级的存取控制中。5支持ETPROXY可以安全地通过INTERNET各电子商务环境中连接ORACLE数据库。6支持多达几十种的服务如终端服务TELNET,TLOGIN,文件传送FTP、电子邮件SMTP,POP3、WWWHTTP、SHTTP、SSL、GOPHER、远程运行RSH、简单网络管理协议SNMP等。7多平台支持可运行在SUN、HP、IRIX上的UNIX系统,NT平台上的NT40支持以太和令牌环网。如下图所示GAUNTLET防火墙采用了业界最先进的自适应代理技术，通过自适应代理技术将最安全的防火墙防护方法（应用级网关防火墙）与检查信息包过滤器速度技术相结合，可有效保护网络的安全，并且具有较高的数据吞吐量。另外，全面集成的虚拟专用网络支持GAUNTLET防火墙可作为标准的VPN服务器，提供对虚拟专用网（VPN）功能的支持。GAUNTLET防火墙的VPN基于标准的X509认证支持，并且提供由ICSA认证的IPSEC功能，可用来与其它VPN服务器相连接。GAUNTLET的VPN加密模块支持56BITDES及168BITTRIPLEDES。如果选择RECOVERYKEY，美国以外的用户也可购买168BITTRIPLEDES模块。GAUNTLETGLOBALVIRTUALPRIVATENETWORK41内置了基于PKI的证书管理服务器。EPPLIANCE防火墙采用NAI公司经过认证的知名软件，GAUTLETFIREWALL、VPN和WEBSHIELD来构建，EPPLIANCE是NAI公司世界一流安全产品与SUN公司的硬件SERVER合一的产品，可安装在标准19英寸机柜中，使硬件防火墙的安全等级提高到一个新的高度。412安全监控产品CYBERCOPMONITOR设置性能优良的网络安全监控系统是目前提高网络安全防护能力最有效的手段。随着网络交换技术的使用和网络速度的不断提高，昔日的监控技术已经落伍。我们推荐选择的NAICYBERCOPMONITOR正是在新形势下由NAI公司推出的优秀产品。该产品是基于主机的网络安全监控系统，它提供实时数据包分析与系统事件异常检测，可以检测、报告、对入侵者作出响应、防御恶意攻击。CYBERCOPMONITOR适应高速、交换的网络环境，特别适合于全面网络监控要求。我们建议的监控方案是在安全子系统内网设置一台网络监控服务器，负责搜集全网受监主机的报警信息，监视全网的安全运行状态，并完成相应的管理和记录工作。在所有需要进行安全监控的网络服务器上安装CYBERCOPMONITOR软件，进行攻击识别及动作执行，监视所在主机的安全运行情况，同时集中向管理服务器报告及上传证据，而网管中心监控管理器MONITORCONSO